Kripto Para Dediler Alttan Zararlıyı Verdiler | Malware Analiz Notları #2

Selamlar. Kripto Para devrinin alevli anlarını yaşıyoruz şu sıralar. Teknik bilgisi olsun olmasın belli bir kesim kulaktan dolma bilgiler ile “bitkoyin alam, zengin olam. eter varmış ona girek” kafasında ve bu fikri gerçekleştirmek için al-sat olayını kolaylaştıran sisteme ihtiyaç duyuyorlar. Benzeri sistemler ülkemizde de mevcut. Hani birim değerlerin birbirini tutmadığı kafalarına göre komik değerler çıkartabilenler. Yurt dışında bu sistemlerden çok var ve güvenilirlik noktasında kim nedir ne değildir karar vermek biraz muallakta ve benzeri sistemlere ev sahipliği yapan sistemler sadece göz boyamak için kurulmuş dahi olabiliyor. Bu yazımda işte bu göz boyayan bir siteye göz atıp yaydığı zararlıyı inceleyeceğiz.

Hedef sitemiz : thecryptopeople.comScreenshot_2

Siteye giriş yaptığınızda böyle bir sayfa karşılıyor bizi. Evet al-sat için bir sisteme sahip gibi ancak değil. Sitemiz sadece göstermelik bir sayfadan ibaret. Kayıt ol vs gibi butonlar işlevsiz ve herhangi bir yönlendirme gerçekleştirmiyor. Diyeceksiniz “yav ne diyon sen ne diye kurmuşlar bu siteyi”. Cevabı basit. Arkadaşlarımız ana dizinlerinde “susutesla.exe” adında bir uygulama barındırıyorlar. “yhaa yoksak minnoş wallet uygulaması mı” diyenler bu yazıyı okumuyordur umarım. Baba herifler direkt zararlıyı gömmüşler öyle böyle değil ama. Yani git zekice bir vektör oluştur tasarla yap amennah. Öveyim burda beyinlerinizi, incelerken zevk alayım. Akıllı adamlarmış yapmışlar, emeğe saygı olsun diye çalıştırdım diyeyim ama yok abilerimiz 1 ön yükleyiciye sahip .NET çatısı altında çalışan zararlıyı koymuşlar buraya. Şimdi bunların bir akıllıca yaptıkları şey var. O da siteye sertifika eklemişler. Yani az çok olaylara haşır neşir olan biri yemez ancak vakti zamanında herkese güvenliği öğretelim diye eğitim veren abilerin tesiri altında kalan bir kitle var ki ben onlara “yeşil kilitçi tarikatı” diyorum , bu arkadaşların düşünce yapıları çok !kompleks! . “Gardaşım siteğin sol üst tarafında yeşil kilit varsa o guvenlidir. Guven ona, her şeyini teslim et” şeklinde düşünürler. Yani bu tarikata bu link ile bu virüs yollanırsa ya da site üzerinden yönlendirilirse millet perte çıkar. Kısaca dandik bir zararlı ancak şu kripto para sitesi üzeriden yayılması ve ön yükleyicisinin mantığını sevmemden dolayı incelemek istedim bu sefer biraz daha veri toplayıp onları göstereceğiz. Baya gevezelik ettim geçelim analize.

Arkadaşımız .NET v4’ü baz alarak çalışıyor. .NET’i görünce bana gelen sevinci tahmin edeceksinizdir umarım.

Screenshot_3.png

Ön yükleyicimiz öyle şişik bir yapıya sahip değil. Resourceste 2 adet bitmap’e sahip ve EP’nin bulunduğu sınıf içerisinde de 1 ana fonksiyon ve 3 yardımcı fonksiyon bulunuyor.

Screenshot_4

Main fonksiyonu içerisinde aşağıda yer alan değişken atamalarından bol bol bulunuyor. Atama işlemine baktığımızda, önce yardımcı fonksiyona byte dizisi veriliyor ardından alınan çıktı string’e çevriliyor ve son olarak objemize dönüşmesi için diğer sistem fonksiyonları kullanılıyor. Yardımcı fonksiyonumuza yakından bakalım.

Screenshot_5

168 elemana sahip byte dizisini tanımladıktan sonra girdi olarak aldığı diziyi bir takım decrypt işlemlerine sokuyor ve ardından bunu geri dönütlüyor. Bu esnada bir yardımcı fonksiyonu daha çağırıyor ancak onu incelememize gerek yok sadece xor işlemine tabii tutuyor aldığı 2 adet girdiyi.

Screenshot_6

Screenshot_7

Kısaca üstte bahsettiğim fonksiyon hedef ön yükleyicimizin içerisinde bulundurduğu zararlıyı çıkarma işlemi sırasında ihtiyaç duyduğu diğer şeylerin isimlerini bu şekilde içerisinde barındırıyor. Çözmek için izlediğim yol ise basit. Algoritmayı alıp başka bir projeye geçirdikten sonra şifreli byte’ların çözülmüş hallerini yeni uygulamama vererek string hallerini elde ettim. Bayanlar baylar bu işlemleri yaparken abra kadabra demeyi sakın unutmayın yoksa bu zeki dostlarımızın ultra gizemli karıştırma ve caydırma yöntemini sihirsiz asla çözemeyiz.

Karşınızda main fonksiyonunun baştan sona kadar kullandığı karmaşık gözüken byte dizilerinin gerçek yüzü. Zaten şu sahneyi görünce “anaaa burda resmen klasik crypterlara gönderme yapmışlar” diyoruz ve aklıma şu sahne geliyor !gönderme var!

Screenshot_8

Kısaca zararlımızın ön yükleyicisi normalde yapması gereken işlemlerin güzel bir şekilde üstünü kapamaya çalışmış ve belli noktaya kadar başarılı olmuş. Önce ihtiyacı olan sınıfları belirtiyor ardından Resources üzerinden zararlıya ait bitmap üzerinden byte’ları okuyup işleme alıyor ve ardından Assembly sınıfını kullanarak kendi belleği üzerinden bunu çalıştırıyor. Diyeceksiniz 1 yardımcı sınıf daha vardı o nerde ?

O da burada. Aldığı bitmap üzerinden pixel değerleri ile byte dizisi oluşturup dönütlüyor. Başta bahsettiğimiz 2 bitmap arkadaştan veri çıkartıyor kısaca.Screenshot_9

Şimdi geldik ön yükleyicinin “abi ben suçlu değilim aracıyım” dediği yere. İçeride bulunan asıl arkadaşa ulaşıp çekip almamız lazım ama nasıl ? Düşündüm taşındım kaynak kod manipülasyonuna girsem bu karışıklığın içerisinden gecenin 3’ünde bu kafayla çıkamam dedim. Daha basit bir yol seçtim. O yolumuzun adı process dump. Şimdi bahsettik ya zararlı çözülüyor ardından bellek üzerinden koşmaya devam ediyor diye. Heh processin bellek üzerindeki kullanımını dump edersek otomatik olarak koşan zararlıya da ulaşmış oluruz. Bu noktada izole bir ortam kurup ihtiyacım olan “Mega Dumper” isimli aracı edindim. Kendisi .NET uygulamalarının çalışma esnasında dumpını almak için tasarlanmış bir araç. Kullanımı oldukça basit. Hedef yazılımın çalışması halinde process listten hedefi seçip sağ tıklayıp DUMP dediğiniz takdirde klasöre hedefin varını yoğunu döküyor.

Örnek bir resim. İsterseniz hedef uygulamanın kullandığı modüllere de erişim sağlayabilirsiniz.

Screenshot_10

 

Ben de araç ile hedef ön yükleyicimin dump’ını aldıktan sonra incelemeye koyuldum tekrardan.Gördüğünüz üzere şu 196kb’lik delikanlı bizim zararlımız. Kendisi gene ön yükleyicisi gibi .NET FW4’ü baz alarak çalışıyor.

Screenshot_11

 

Kurtarıcı meleğim dnSpy ile incelediğimde bu manzarayla karşılaştım ve ilk yazıyı okuyanlar benzerini hatırlayacaktır. O .NET zararlısını anımsatıyor gene ve az sonra göreceğiz ki aynı araçtan çıkmış.Screenshot_12

EP’sine gittiğimizde “haaah afferim size” diyoruz. Evet aynı zararlı(konfigresi farklıdır) döndü dolaştı bu sefer kripto para adı altında geldi önümüze.

Screenshot_13

Zararlımızın bu fonksiyonu aldığı verileri C&C server’a yolluyor. Encrypted halde çok fazla string bulunduğundan dolayı okumak zor ancak manuel düzenlemeler yaparak daha okunaklı hale getirebiliriz.

Screenshot_17

Evet, basit bir web request oluşturuyor aslında. Aldığı veriyi şifreledikten sonra uri üzerinden post ediyor.

Screenshot_18

İlk yazıda RAT / Stealer olabileceğinden bahsetmiştim ancak zararlının zararlı fonksiyonlarını incelemek için pek imkanım olmamıştı. Bu zararlıyı tekrardan analiz ettiğimde stealer olasılığının daha ağır bastığını gördüm. Hem keylogger fonksiyonu bulunuyor hem pano,browser vs noktalardan veri toplayıp C&C’e gönderiyor. Biraz o fonksiyonları inceleyelim.

Keylogger fonksiyonumuzun bir kısmı bu şekilde. Key press’e göre kontrol gerçekleştiriyor ardından tuş komutları için bir log verisi oluşturup bunu görsel bir sunum oluşturması için ön kodlarla birleştiriyor.

Screenshot_19.png

Bu fonksiyonda görüldüğü üzere panomuzdan veri topluyor.

Screenshot_21

Bu noktadan sonra kod okumaya biraz ara veriyoruz ve zararlımızın çocukluğuna gidip neden böyle yaptığını incelemeye çalışıyoruz.

Ön yükleyicimizin tarama raporuna baktığımızda delik deşik durumda olduğunu zaten görüyoruz.

Screenshot_14

Stringleri incelediğimizde ryo.exe’li bir path ile görüyoruz ki ön yükleyicimiz çalıştığında kendini buraya bu ad ile kopyaladıktan sonra bu isim ile çalışmak için kendini tetikliyor. Onun dışında ssl ve cloud sağlayıcısı iki firmanın linkleri bulunuyor ki normaldir kurban bağlantıları için stabil bağlantıya ihtiyacı var. Onun dışında gözüme takılan başka bir veri bulamadım burada.

Screenshot_15

Zararlımıza geçelim şimdi. Gene delik deşik ve bağırıyorlar gözetliyor bu güvenilmez açma diye.Screenshot_16

 

Evet bir analizin daha sonuna geldik. Eksik gedik bolca vardır. Belirtmeniz halinde düzeltme gerçekleştiririm. Okuduğunuz için teşekkürler. Yeni yazılarda görüşmek üzere. Elinizde güzel zararlılar varsa yollayabilirsiniz.

 

 

 

 

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s